Phished assure la sécurité de vos données : découvrez comment nous procédons.
Nos valeurs fondamentales
Phished est une entreprise de cybersécurité et donc la confidentialité, l'intégrité et la disponibilité des données des clients sont d'une importance capitale et le premier objectif de notre organisation. Phished s'associe à certains des meilleurs fournisseurs de cloud au monde pour garantir les meilleurs niveaux de confidentialité, d'intégrité et de disponibilité pour nos applications et les données de nos clients.

Ressources supplémentaires
Téléchargez notre déclaration de sécurité
Lire notre politique de confidentialité
Lire notre politique en matière de cookies
Téléchargez notre certificat ISO 27001
Règlement général sur la protection des données (RGPD)
Voici quelques informations clés sur la manière dont nous stockons vos données en toute sécurité.
1. Ce que nous stockons
Nous ne stockons que les informations nécessaires, telles que vous les avez collectées.
2. Comment nous les stockons
Nous chiffrons vos données au repos et en transit ; notre site et nos processus de stockage sont conçus pour la sécurité (vous pouvez en savoir plus sur la façon dont nous stockons vos données plus bas sur cette page).
3. Qui peut y accéder
Nous disposons de contrôles d'accès internes étendus et de règlements pour l'équipe d'usecure, qui n'a accès aux données que sous certaines conditions spécifiques. Vous avez la possibilité de restreindre l'accès des administrateurs aux documents sensibles.
4. Nos normes fondamentales
Notre conformité fondamentale avec la loi signifie que :
- Nous sommes pleinement conscients de l'endroit où vos données sont conservées et, lorsqu'elles se trouvent en dehors de l'UE, nous veillons à ce que la conformité appropriée soit en place.
- Nous veillons à ce que seules les personnes qui ont besoin d'accéder à vos données puissent le faire et nous disposons du plus haut niveau de protection contre les accès non autorisés.
- Nous veillons à ce que vous ayez le droit de consulter, de modifier, d'exporter ou de supprimer toute information que nous détenons en votre nom, y compris celles détenues par des services tiers.
- Nous veillons à ce que le consentement soit donné au cours du processus d'inscription pour tous ceux qui utilisent usecure et à ce que vous puissiez vous retirer à tout moment.
Questions fréquemment posées
Si vous avez d'autres questions, nous serons heureux de vous aider. Contactez nous.
Quelles sont les certifications de conformité de Phished ?
Phished a mis en œuvre et maintient l’un des systèmes de gestion de la sécurité de l’information les plus reconnus au monde : l’ISO/IEC 27001. Nous sommes entièrement certifiés conformes à cette norme. Notre numéro d’enregistrement de certificat est le 30050399, valable du 27/09/2024 au 26/09/2027, avec une déclaration d’applicabilité datée du 13/08/2024 (version 2.0).
En plus de la norme ISO 27001, Phished détient un rapport ISAE 3000 (SOC 2 Type II), un certificat Cyber Essentials et opère conformément aux exigences ISO/IEC 27701, NIS2 et DORA.
La plateforme est également entièrement conforme au RGPD, garantissant que toutes les activités de traitement des données répondent aux exigences strictes du Règlement général sur la protection des données. De plus, nous appliquons les meilleures pratiques du secteur dans des domaines tels que le chiffrement des données, le contrôle d’accès et les processus de développement sécurisés, assurant la protection des données des clients à tout moment.
Pour en savoir plus, consultez notre page sur la conformité.
Comment Phished protège-t-elle les données personnelles des utilisateurs ?
Phished accorde une priorité élevée à la confidentialité et à la protection des données des utilisateurs. La plateforme est entièrement conforme au RGPD et respecte des principes fondamentaux tels que la minimisation des données et la limitation des objectifs. Cela signifie que Phished ne collecte que les données personnelles strictement nécessaires à la fourniture de ses services (simulations de phishing, modules de formation, informations sur les rapports…) et ne les utilise qu’à cette fin.
Bien que la plateforme utilise certains attributs utilisateur pour adapter les simulations et le contenu de formation (telle que la langue, la région ou le rôle dans l’entreprise), cela se traduit par des processus automatisés qui ne donnent aucunement lieu à des décisions ayant des effets juridiques ou similaires sur les individus. L’objectif est d’offrir un contenu pertinent et crédible tout en respectant pleinement la vie privée des utilisateurs et en évitant le profilage intrusif.
Pour plus de détails, veuillez consulter notre politique de confidentialité.
Comment l’accès à la plateforme et l’authentification sont-ils sécurisés ?
Phished applique plusieurs couches de sécurité pour protéger l’accès à la plateforme et l’authentification des utilisateurs. Toutes les sessions utilisateur sont sécurisées par un chiffrement TLS/SSL qui garantit un transfert de données sécurisé entre les utilisateurs et la plateforme.
Une authentification multifacteur (MFA) est appliquée aux comptes administrateurs afin d’empêcher tout accès non autorisé. La plateforme prend également en charge l’authentification unique (SSO) via SAML 2.0, permettant aux organisations d’intégrer Phished avec leur fournisseur d’identité existant pour une authentification utilisateur simplifiée et sécurisée.
Par ailleurs, le contrôle d’accès basé sur les rôles (RBAC) garantit que les utilisateurs n’accèdent qu’aux fonctionnalités et données pertinentes pour leur rôle. Phished implémente la gestion des sessions, la surveillance des connexions et la journalisation des activités afin d’aider à détecter les comportements suspects. Des évaluations de sécurité régulières et des tests d’intrusion sont effectués pour identifier et atténuer de manière proactive les vulnérabilités potentielles.
Phished effectue-t-il des audits ou des examens de sécurité par un tiers ?
Notre approche globale de la cybersécurité met l’accent sur une stratégie minutieuse et proactive. En alignant étroitement le processus de correction avec la gravité et les conséquences potentielles des vulnérabilités, nous assurons une réponse systématique et efficace.
De plus, notre stratégie dépasse le simple patch : elle englobe un suivi et une évaluation continus pour anticiper les risques émergents. Nous croyons en un cadre de cybersécurité holistique qui répond non seulement aux préoccupations immédiates, mais qui établit également une base pour la résilience à long terme.
Phished utilise une approche à plusieurs niveaux pour l’analyse des vulnérabilités
- Analyse automatique des vulnérabilités : scanner en ligne qui analyse quotidiennement les faiblesses de cybersécurité dans notre infrastructure numérique en fonction des menaces émergente. Les alertes instantanées nous permettent de traiter rapidement les menaces, en minimisant la fenêtre d’exposition et en améliorant la résilience globale de la cybersécurité.
- Hackers éthiques : nous tirons parti d’un programme professionnel qui engage des hackers éthiques à identifier en permanence les failles de sécurité au sein de notre infrastructure numérique. Notre programme invite les chercheurs en sécurité du monde entier à participer activement à la détection et au signalement des vulnérabilités. Cette approche proactive et transparente favorise un cycle d’amélioration continue, renforçant la résilience de nos systèmes face aux menaces émergentes.
- Politique de divulgation responsable : nous croyons que la collaboration avec la communauté de recherche en sécurité est cruciale afin d’identifier et d’aborder les vulnérabilités potentielles dans nos systèmes et applications. Nous encourageons la divulgation responsable de tout problème de sécurité découvert et apprécions l’aide des chercheurs en sécurité pour maintenir un environnement sécurisé pour tous. Notre politique de divulgation responsable décrit les lignes directrices pour signaler les vulnérabilités de sécurité à Phished, ainsi que notre fichier security.txt.
- Tests de pénétration physique : en plus des protections numériques, Phished effectue régulièrement des tests de pénétration physique afin d’évaluer la résilience de notre infrastructure physique et nos procédures opérationnelles. Ces tests simulent des tentatives d’intrusion dans le monde réel pour évaluer les contrôles d’accès, la sensibilisation des employés et les protocoles de sécurité au niveau de l’installation.
Où sont stockées les données des utilisateurs ?
Chez Phished, toutes les données utilisateur sont stockées dans des centres de données hautement sécurisés situés en Europe. Cette configuration garantit la conformité aux normes internationales les plus strictes en matière de confidentialité, de sécurité et de protection juridique, notamment au RGPD et d’autres réglementations applicables.
Les applications Phished, déployées sous forme d’applications distribuées basées sur des conteneurs dans Google Cloud Platform (GCP), ainsi que nos bases de données de production backend sont hébergées en Belgique. Les emplacements de base de données à basculement à haute disponibilité sont également hébergés dans cette même région, mais dans une zone distincte.
Comment sont les données des utilisateurs traitées ?
Une liste détaillée des sous-traitants peut être consultée dans notre accord de traitement des données. Nous avons conclu des accords de traitement des données avec chacun de nos sous-traitants, conformément à l’article 28 du RGPD. Ces accords incluent des clauses contractuelles standard pour les transferts de données vers des pays tiers. Les centres de données principaux de nos sous-traitants sont situés dans l’Espace économique européen (EEE), mais des données peuvent être transférées en dehors de cet espace si le siège social est situé aux États-Unis. Cependant, toutes les données personnelles demeurent chiffrées, au repos comme en transit, afin d’assurer leur sécurité. Nous avons réalisé une analyse d’impact relative à la protection des données (AIPD) et une évaluation d’impact sur le transfert de données (AITD) pour chaque sous-traitant, et tous sont conformes aux normes ISO 27001 et SOC 2.